一、 漏洞 CVE-2020-8858 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
这个漏洞允许远程攻击者执行受影响的Moxa MGate 5105-MB-EIP固件版本4.1上的任意代码。要利用此漏洞,需要验证身份。该具体漏洞存在于MainPing.asp中的destIP参数中。问题源于在使用用户输入字符串执行系统调用之前未进行适当的验证。攻击者可以利用此漏洞在根上下文中执行代码。此漏洞被攻击者利用可能导致系统崩溃。此漏洞的编号为ZDI-CAN-9552。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This vulnerability allows remote attackers to execute arbitrary code on affected installations of Moxa MGate 5105-MB-EIP firmware version 4.1. Authentication is required to exploit this vulnerability. The specific flaw exists within the DestIP parameter within MainPing.asp. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-9552.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Moxa MGate 5105-MB-EIP 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
使用4.1版本固件的Moxa MGate 5105-MB-EIP中的MainPing.asp文件的‘DestIP’参数存在操作系统命令注入漏洞,该漏洞源于在使用用户提交的字符串来执行系统调用之前,程序没有进行正确的验证。远程攻击者可利用该漏洞执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-8858 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-8858 的情报信息